JS 应用&安全案例&泄漏云配置&接口调试&代码逻辑&框架漏洞自检

在 Javascript 中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞。
JS 开发应用和 PHP , JAVA 等区别在于即没源代码,也可通过浏览器查看源代码。
获取 URL ,获取 JS 敏感信息,获取代码传参等,所以相当于 JS 开发的 WEB 应用属于白
盒测试,一般会在 JS 中寻找更多 URL 地址,(加密算法, APIkey 配置,验证逻辑,框
架漏洞等)进行后期安全测试。
1 、会增加攻击面( URL 、接口,分析调试代码逻辑)
2 、敏感信息(用户密码、 ak/sk 、 token/session )
3 、潜在危险函数( eval 、 dangerallySetInnerHTML )
4 、开发框架类 ( 寻找历史漏洞 Vue 、 NodeJS 、 Angular 等 )
打包器 Webpack : PackerFuzzer
AK/SK 云安全利用:工具箱 CF (云安全后续会讲更多)
浏览器插件: Pentestkit FindSomething Wappalyzer (前期的 JS 收集项目)

相关推荐
tntxia1 小时前
网络安全漏洞修复(一)
安全
万少11 小时前
万少的博客 - 技术分享与解决方案
前端·javascript·后端
尘世中一位迷途小书童14 小时前
用 Cesium 撸了一个森林火情监控大屏,弧线、粒子、发光效果都齐了
前端·javascript
先吃饱再说15 小时前
JavaScript中`this` 的“千层套路”:从默认绑定到箭头函数的五种指向
javascript
foxire15 小时前
基于nodejs实现服务端内核引擎
javascript
触底反弹17 小时前
🧠 搞懂 Token,才算真正入门大模型——从分词原理到 Embedding 语义实战
javascript·人工智能·算法
free3517 小时前
AST Interpreter 的设计:为什么分 evaluate() 和 execute()
javascript
等咸鱼的狸猫18 小时前
JavaScript 隐式类型转换:从入门到精通
javascript
kyriewen21 小时前
我用 Codex 重写了同事维护三年的代码,他没说谢谢——而是找了领导
前端·javascript·ai编程
铁皮饭盒21 小时前
S3已成为文件存储标准,阿里/腾讯/华为云都支持,Bun率先原生支持
前端·javascript·后端